2016年11月16日

http://cn.nytimes.com/world/20161116/china-phones-software-security/zh-hant/

Adam Goldman對本文有報導貢獻。

MATT APUZZO, MICHAEL S. SCHMIDT

Emilio Morenatti/Associated Press

近期，安全承包商發現不少安卓手機被預裝了軟件，

用以記錄用戶地址、通訊等信息。

中國公司被指在安卓手機留「後門」

===========================

華盛頓——花大約50美元（約合340元人民幣），

你就可以買到一部帶有高清顯示和快速數據服務的智能手機。

從事信息安全工作的承包商說，這種手機還有一種秘密功能：

它有一個後門，會每隔72小時就把你所有的短訊都發送到中國。

從事安全工作的承包商最近在一些安卓(Android)

手機上發現了預裝軟件，這種軟件監視用戶去過哪裡，

他們與什麼人聊過天，他們在短訊中寫了什麼。

美國當局表示，尚不清楚這是一種為了廣告目的

而秘密進行的數據挖掘，還是一種中國政府收集情報的努力。

受這種軟件影響最大的是國際客戶、臨時手機用戶

以及預付話費的用戶。

但還不清楚其影響範圍有多大。

這個軟件是中國的上海廣升信息技術有限公司(Adups)編寫的，

該公司稱其代碼在超過七億部手機、汽車和其他智能設備上運行。

美國手機製造商BLU產品公司表示，其12萬部手機受到影響，

公司已更新了軟件，刪除了這個功能。

發現該漏洞的信息安全公司Kryptowire說，

廣升的軟件將短訊的全文、聯繫人名單、通話記錄、位置信息，

以及其他數據傳輸到一個中國的服務器上去。

Kryptowire副總裁湯姆·卡拉吉安尼斯(Tom Karygiannis)說，

代碼是預裝在手機上的，但沒有向用戶披露這種監視功能，

Kryptowire公司位於維吉尼亞 州的費爾法克斯。

「即使你想知道，你也不可能知道有這個東西，」他說。

雖然信息安全專家經常在消費者電子產品中發現漏洞，

但這次的情況很特別。這不是一個程序錯誤。

相反，據廣升向BLU高管提供的解釋這個問題的文件，

廣升有意設計了這個軟件，以幫助中國手機製造商監視用戶行為。

廣升表示，帶有上述功能的軟件版本原本不是為美國手機寫的。

「這是家犯了錯誤的私人公司，」加利福尼亞州

帕洛阿爾托的律師林麗麗(Lily Lim)說，她是廣升的法律代理。

這個問題顯示了處在整個技術供應鏈中的公司，

如何能夠在製造商或用戶知情或不知情的情況下侵害隱私。

它也讓人看到了中國公司——進而延伸到中國政府——可以監視手機的

一種方式。

多年來，中國政府一直在使用各種方法來過濾和跟蹤互聯網的使用，

監視在線對話。

政府要求在中國經營的技術公司遵守嚴格的規則。

林麗麗說，廣升不隸屬於中國政府部門。

這個問題的核心是一種被稱為「固件」的特殊類型軟件，

固件告訴手機如何進行操作。

廣升提供的代碼讓公司能遠程更新其固件，

這是一個用戶基本上看不到的重要功能。

通常，當手機製造商更新其固件時，它會告訴用戶做了什麼，

也會告訴用戶它是否將使用個人信息。

儘管用戶通常對這種很長的法律聲明文本毫不關心，但畢竟告知了用戶。

廣升的軟件則未作有關聲明，Kryptowire說。

據廣升的網站，該公司向世界上兩家最大的手機製造商

中興和華為提供軟件。

這兩家公司都在中國。

位於佛羅里達州的BLU產品公司的首席執行官

塞繆爾·奧赫夫-錫安(Samuel Ohev-Zion)說：

「這顯然是我們不知道的事情。我們非常迅速地進行了糾正。」

他補充說，廣升已向他保證，

從BLU客戶那裡獲得的所有信息都已被銷毀。

據廣升提供的文件，

這款軟件是根據一個未指明的中國製造商的要求編寫的，

該製造商希望軟件有存儲通話記錄、短訊消息和其他數據的功能。

廣升說，中國公司使用這些數據提供客戶支持。

林麗麗說，

該軟件的目的是幫助中國客戶識別垃圾短訊和電話。

她沒有給出提這個要求的公司的名字，

並表示不知道有多少手機受了影響。

林麗麗稱，向用戶聲明隱私政策的責任在電話公司，不在廣升。

她說，「廣升只不過是按照電話分銷商的要求提供功能而已。」

安卓手機用的軟件是谷歌(Google)開發的，

並免費提供給手機製造商按照自己的需要改制。

一名谷歌負責人表示，公司曾告訴廣升，

讓其把監視功能從運行Google Play商店等服務的手機上刪除。

但這不會包括中國的設備，雖然中國有數億人使用安卓手機，

但由於審查的原因，谷歌不在中國運營。

由於廣升尚未發佈受影響手機的名單，

目前不清楚用戶如何能確定他們的手機是否有問題。

「有點技術能力的人也許能自己解決，」

Kryptowire副總裁卡拉吉安尼斯說。

「但一般的消費者怎麼辦？他們沒有辦法。」

林麗麗說，她不知道用戶怎樣能確定他們是否受到影響。

廣升還提供被稱為「大數據」的服務，幫助公司研究其客戶，

「更好地了解他們，了解他們喜歡什麼、

他們使用什麼、他們從哪裡來，還有他們的喜好，

以為他們提供更好的服務，」公司的網站說。

Kryptowire發現這個問題的過程既帶有偶然性，也受到好奇心的驅使。

卡拉吉安尼斯說，公司的一名研究員

為一次海外旅行買了一部便宜的BLU R1 HD手機。

在設置手機時，這名研究人員注意到不尋常的網路活動。

據Kryptowire的報告，在接下來的一週裡，

分析師注意到該手機在向位於上海的一個服務器發送短訊內容，

該服務器註冊在廣升名下。

Kryptowire已把這一發現上報了美國政府。

公司計劃最早在週二公布其報告。

美國國土安全部發言人瑪莎·卡特倫(Marsha Catron)說，

國土安全部「最近獲悉了Kryptowire發現的問題，

正在與我們的公共和私營部門合作夥伴一起確定適當的緩解策略。」

雖然Kryptowire是一家國土安全部的承包商，

但公司對BLU手機的分析是獨立於政府合同進行的。

BLU首席執行官奧赫夫-錫安說，

他確信公司已經為客戶解決了這個問題。

「如今已經不存在收集這些信息的BLU設備了，」他說。

=======================================

中國公司在手機留後門

=======================================

[ 相關 ]

中國公司被指在安卓手機留「後門」[ 紐約時報 ]

=========================================